淮委網(wǎng)絡(luò)安全能力提升建設(shè)與成效

孫冶，程偉

（1.淮河水利委員會水文局（信息中心），安徽 蚌埠 233001；2.安徽淮河水資源科技有限公司，安徽 蚌埠 233000）

伴隨著計算機網(wǎng)絡(luò)技術(shù)的全面發(fā)展，網(wǎng)絡(luò)在全球各行業(yè)之間的覆蓋面越來越大，在網(wǎng)絡(luò)給人們帶來了便利的同時，互聯(lián)網(wǎng)的性質(zhì)決定了它本身就帶有信息泄露和數(shù)據(jù)被破壞的可能性，時至今日，在網(wǎng)絡(luò)入侵與攻擊事件的日益猖獗的前提下，網(wǎng)絡(luò)安全防護的重要性逐漸顯現(xiàn)出來。雖然如今采用了各種防護技術(shù)，如防火墻、安全態(tài)勢感知、代理服務(wù)器、殺毒軟件等，網(wǎng)絡(luò)攻擊仍對國家安全和經(jīng)濟造成了危害。

1 淮委網(wǎng)絡(luò)安全現(xiàn)狀

基于淮河水利委員會（以下簡稱淮委）網(wǎng)絡(luò)安全能力提升與IPV6 網(wǎng)絡(luò)設(shè)備改造項目，淮委已建立較為完備的安全基礎(chǔ)設(shè)施，建成政務(wù)內(nèi)網(wǎng)涉密信息系統(tǒng)的分級保護體系和政務(wù)外網(wǎng)重要信息系統(tǒng)三級等級保護體系；淮委政務(wù)外網(wǎng)安全防護以計算機信息系統(tǒng)三級安全等級保護為標(biāo)準(zhǔn)，對淮委政務(wù)外網(wǎng)、淮河數(shù)據(jù)容災(zāi)備份中心以及沂沭泗局外網(wǎng)三個節(jié)點部署的重要信息系統(tǒng)進行安全等級保護建設(shè)。

每個節(jié)點建設(shè)內(nèi)容包括核心交換區(qū)、終端區(qū)、公眾信息系統(tǒng)區(qū)（二級）、三級信息系統(tǒng)區(qū)以及安全管理區(qū)等五個區(qū)域的安全防護體系建設(shè)，完成物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理等六個安全方面的安全防護。

2 網(wǎng)絡(luò)安全重要性

“沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障?！绷?xí)近平總書記高度重視網(wǎng)絡(luò)安全工作。網(wǎng)絡(luò)是信息化社會的重要基礎(chǔ)，網(wǎng)絡(luò)空間是國家安全和經(jīng)濟社會發(fā)展的關(guān)鍵領(lǐng)域。沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。網(wǎng)絡(luò)安全已經(jīng)成為我國面臨的最復(fù)雜、最現(xiàn)實、最嚴(yán)峻的非傳統(tǒng)安全問題之一。

網(wǎng)絡(luò)安全問題涉及國家安全。在互聯(lián)網(wǎng)時代，國際爭端中最危險的手段，已經(jīng)由軍事行動向網(wǎng)絡(luò)攻擊滲透控制轉(zhuǎn)變，某些國家利益互聯(lián)網(wǎng)技術(shù)的差距，可以獲取其他國家的各類秘密情報，控制輿論輿情，竊聽軍事行動等，網(wǎng)絡(luò)安全已是國家安全的重要組成。

網(wǎng)絡(luò)安全影響社會穩(wěn)定。2022 年，伊朗各地加油站網(wǎng)絡(luò)系統(tǒng)遭到黑客的惡意攻擊，同時該國家的一部分城市的電子屏幕也遭到網(wǎng)絡(luò)攻擊，顯示出了不恰當(dāng)和反政府言論，造成該國大量憤怒的車主在加油站排起長隊，使得一時間社會治安極度不穩(wěn)定。

網(wǎng)絡(luò)安全影響人民利益。網(wǎng)絡(luò)犯罪已屢見不鮮，黑客與網(wǎng)絡(luò)罪犯利用網(wǎng)絡(luò)安全知識，對企業(yè)重要服務(wù)器植入勒索病毒，重要文件一旦感染就被鎖定，需要解密的秘鑰才可以破解，獲得秘鑰的方法就是向網(wǎng)絡(luò)黑客付費購買。美國最大的成品油管道運營商于2022 年就遭受了黑客勒索攻擊，運輸系統(tǒng)運作被中斷，美國東部沿海的燃油管道運輸陷入癱瘓，造成全球油價攀升。

3 網(wǎng)絡(luò)安全建設(shè)

淮委目前已建設(shè)具備網(wǎng)絡(luò)安全預(yù)警及態(tài)勢感知的綜合立體網(wǎng)絡(luò)安全防護體系。實現(xiàn)安全信息采集、存儲和處理分析，實現(xiàn)對服務(wù)器、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)等資產(chǎn)的管理，所有的資產(chǎn)能夠?qū)?yīng)到單位、人，資產(chǎn)的配置信息能夠詳細(xì)的進行匯總、統(tǒng)計。集成入侵檢測系統(tǒng)，對安全事件進行匯總分析，結(jié)合資產(chǎn)和應(yīng)用情況進行全面診斷，實時發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)中存在的安全隱患和威脅。集成主機安全漏洞掃描、web 安全漏洞掃描、沙箱等設(shè)備，對網(wǎng)絡(luò)設(shè)備、終端、應(yīng)用系統(tǒng)、服務(wù)器的脆弱性進行評估和匯總展示，針對存在的脆弱性及高中漏洞，構(gòu)建知識庫。

3.1 監(jiān)測預(yù)警能力建設(shè)

構(gòu)建安全態(tài)勢感知系統(tǒng)，通過將攻擊鏈模型、ATT&CK 模型、威脅知識圖譜融入平臺威脅建模和關(guān)聯(lián)分析，在有效發(fā)現(xiàn)威脅事件同時結(jié)合全流量數(shù)據(jù)取證溯源，提升分析研判準(zhǔn)確度，通過安全編排響應(yīng)自動化能力將淮委安全經(jīng)驗固化，降低處置響應(yīng)時間，提升安全人員技術(shù)能力。結(jié)合惡意文件分析、WEBshell 檢測和異常行為檢測，強化傳統(tǒng)威脅檢測和高級威脅檢測，全面提升威脅感知能力。

3.2 縱深防御能力建設(shè)

物理環(huán)境安全：采用基于國產(chǎn)密碼算法的安全門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)，對重要物理區(qū)域（如計算機集中辦公區(qū)、設(shè)備機房等）出入人員的身份進行鑒別。

網(wǎng)絡(luò)通信安全：為項目建設(shè)新的服務(wù)器與存儲資源池，并配置相應(yīng)的防火墻，路由器等網(wǎng)絡(luò)設(shè)備，實現(xiàn)邊界防護功能。

服務(wù)器安全：在現(xiàn)有中心機房虛擬機安全加固系統(tǒng)的基礎(chǔ)上，增加主機防護授權(quán)，實現(xiàn)主機加固功能；增加防病毒授權(quán)，提升服務(wù)器防病毒能力。

云平臺防護：建立縱深安全防護能力的云計算安全防護手段，從預(yù)防、檢測、防護、響應(yīng)等多種類型安全考慮，形成淮委“多方協(xié)同、縱深防護、全局可視、主動響應(yīng)、持續(xù)提升”的云計算安全體系，保障云計算應(yīng)用安全。

終端安全：針對國產(chǎn)操作系統(tǒng)終端，升級終端管控系統(tǒng)，通過系統(tǒng)細(xì)化訪問控制策略配置，對可疑終端進行高效檢測，實現(xiàn)終端管理可視可控，增加終端開機密鑰認(rèn)證授權(quán)，實現(xiàn)終端安全接入功能。

3.3 重要數(shù)據(jù)安全防護

充分考慮數(shù)據(jù)安全的全生命周期安全管理，結(jié)合數(shù)據(jù)安全合規(guī)性管理、個人信息安全保護、重要數(shù)據(jù)安全保護來設(shè)計多種安全應(yīng)用場景。通過數(shù)據(jù)梳理與風(fēng)險評估、數(shù)據(jù)訪問安全、數(shù)據(jù)庫審計與防護、業(yè)務(wù)數(shù)據(jù)脫敏、網(wǎng)絡(luò)數(shù)據(jù)外發(fā)監(jiān)控和數(shù)據(jù)安全風(fēng)險感知等方面來完成應(yīng)用與數(shù)據(jù)安全的防護。

3.4 密碼認(rèn)證建設(shè)

在互聯(lián)網(wǎng)出口區(qū)部署具有商密資質(zhì)的安全認(rèn)證網(wǎng)關(guān)或SSLVPN 設(shè)備，實現(xiàn)鏈路加密，保證數(shù)據(jù)通信完整性，實現(xiàn)重要數(shù)據(jù)的機密性和訪問控制信息的完整性與安全接入認(rèn)證；運維管理用戶側(cè)通過SSL 協(xié)議登錄安全網(wǎng)關(guān)與服務(wù)器密碼機及證書等實現(xiàn)數(shù)據(jù)簽名驗證，驗證成功后跳轉(zhuǎn)到堡壘機，實現(xiàn)堡壘機內(nèi)敏感數(shù)據(jù)、訪問控制信息的完整性。部署日志審計系統(tǒng)，聯(lián)動服務(wù)器密碼機，實現(xiàn)日志記錄完整性。

在安全管理區(qū)域部署堡壘機、安全網(wǎng)關(guān)和服務(wù)器密碼機，在運維管理用戶側(cè)終端側(cè)部署USBKEY、國密數(shù)字證書和國密瀏覽器，確保設(shè)備及人員身份的真實性。運維管理用戶側(cè)通過SSL 協(xié)議登錄安全網(wǎng)關(guān)與服務(wù)器密碼機及證書等實現(xiàn)數(shù)據(jù)簽名驗證，驗證成功后跳轉(zhuǎn)到堡壘機，實現(xiàn)堡壘機內(nèi)敏感數(shù)據(jù)、訪問控制信息的完整性。部署日志審計系統(tǒng)，聯(lián)動服務(wù)器密碼機，實現(xiàn)日志記錄完整性。

在業(yè)務(wù)系統(tǒng)區(qū)域部署安全網(wǎng)關(guān)、簽名驗證服務(wù)器并聯(lián)動服務(wù)器密碼機，在移動APP 端部署協(xié)同簽名驗簽系統(tǒng)，密鑰在移動組件及服務(wù)器端獨立生成和獨立存儲。從而實現(xiàn)重要用戶訪問的真實性，防止非授權(quán)人員登錄，確保數(shù)據(jù)的機密性和真實性。

4 網(wǎng)絡(luò)安全建設(shè)成效

在2020 年以來的多次公安部組織的網(wǎng)絡(luò)安全攻防演練與水利部組織的網(wǎng)絡(luò)安全攻防演習(xí)中，淮委作為水利行業(yè)協(xié)同防守單位，平均每天可感知網(wǎng)絡(luò)威脅攻擊4000 件，封堵惡意攻擊者IP 地址150 條以上，通過對網(wǎng)絡(luò)攻擊行為，流量分析，釣魚郵件等進行研判分析，網(wǎng)絡(luò)安全小組成員及時處理安全事件，消除安全隱患，連續(xù)三年獲得網(wǎng)絡(luò)資產(chǎn)“零失陷”的好成績，依托網(wǎng)絡(luò)安全建設(shè)，淮委各系統(tǒng)目前運行正常，消除了各類安全漏洞，系統(tǒng)未遭受惡意攻擊，數(shù)據(jù)未遭到竊取。

5 總結(jié)

淮委網(wǎng)絡(luò)安全能力提升建設(shè)從安全監(jiān)測感知、安全防御、安全審計、安全管理等角度構(gòu)建集防護、檢測、響應(yīng)、恢復(fù)于一體的安全防護體系，全面提升網(wǎng)絡(luò)安全防護能力，切實保障淮委網(wǎng)絡(luò)信息安全。夯實了淮委網(wǎng)絡(luò)安全的核心地位，提升了淮委網(wǎng)絡(luò)安全保障能力。在現(xiàn)有網(wǎng)絡(luò)安全防護措施的基礎(chǔ)上，提升了網(wǎng)絡(luò)安全的監(jiān)測預(yù)警、縱深防御和應(yīng)急處置能力。造就一批適應(yīng)未來技術(shù)發(fā)展的干部隊伍。通過安全提升建設(shè)和培訓(xùn)，拓展管理人員對網(wǎng)絡(luò)安全的視野，提高安全決策處置能力，增強管理人員的網(wǎng)絡(luò)安全相關(guān)知識技能，提高實際工作中態(tài)勢感知技術(shù)的管理和應(yīng)用能力，逐步成長為既熟悉水利業(yè)務(wù)又掌握網(wǎng)絡(luò)安全技術(shù)的專業(yè)人才，提高了淮委網(wǎng)絡(luò)安全管理技術(shù)水平■